HANDREIKING DATACLASSIFICATIE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

Maat: px
Weergave met pagina beginnen:

Download "HANDREIKING DATACLASSIFICATIE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)"

Transcriptie

1 HANDREIKING DATACLASSIFICATIE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

2 Colofon Naam document Handreiking Dataclassificatie Versienummer 1.0 Versiedatum oktober 2013 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2013 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door de KING; 4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2

3 Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-beveiligingsassessment DigiD is een voorbeeld van zo n project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG en PUN, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het pas toe of leg uit principe. 3

4 Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit document bevat een good practice voor (data)classificatie. Data betekent in dit verband alle gegevens en informatie, ongeacht het medium waarop deze opgeslagen wordt en ongeacht de presentatie daarvan. Doelgroep Dit document is van belang voor systeemeigenaren en informatiemanagers. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten o Tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten Voorbeeld Informatiebeveiligingsbeleid Gemeenten GAP-analyse Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) 7.2 4

5 Inhoud 1 Inleiding 6 2 Classificatie van data Risicoanalyse en restrisico s 7 3 Beleidskaders voor classificatie 9 4 Principes voor classificatie 11 5 Beveiligingseisen per classificatieniveau Beschikbaarheid Integriteit Vertrouwelijkheid 15 Stap 1: Wettelijke eisen 17 Stap 2: Verantwoordelijkheden t.a.v. data 17 Stap 3: Analyse kritische bedrijfsprocessen 18 Stap 4: Afweging: criteria bij het bepalen van het classificatieniveau 19 Stap 5: Het resultaat 20 Bijlage 1: Classificatie leidraad 21 Bijlage 2: Classificatie vragenlijsten 22 B Vragenlijst beschikbaarheid 23 I Vragenlijst integriteit 25 V Vragenlijst vertrouwelijkheid 27 Bijlage 3: Waarderingsschaal 29 5

6 1 Inleiding Dit document bevat een good practice voor (data)classificatie. In dit document wordt alleen gepraat over classificatie, maar rubricering wordt binnen het vakgebied ook vaak gebruikt. Data betekent in dit verband alle gegevens en informatie, ongeacht het medium waarop deze opgeslagen wordt en ongeacht de presentatie daarvan. Classificatie gaat in dit geval niet dieper dan een proces of een systeem. De in deze handreiking genoemde niveaus en (bewaar)termijnen zijn een voorstel en komen uit verschillende brondocumenten, waaronder: wetgeving, PVIB patronen, een gemeente en de strategische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten. Classificatie van data geeft antwoord over de hoeveelheid maatregelen die genomen moeten worden om die data adequaat te beschermen en geeft ook antwoord op de vraag of de data binnen of buiten de baseline valt. De maatregel dataclassificatie of rubricering komt voort uit de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), hoofdstuk 7.2. Doelstelling handreiking De hier voorgestelde classificatie handleiding beschrijft een good practice voor classificatie van informatie. De leidraad biedt handvatten om een classificatiesysteem te ontwikkelen of te verbeteren en deze te implementeren. Belang van classificatie De mogelijke schade die een dreiging (bijv. misbruik door oneigenlijke toegang) kan toebrengen aan bepaalde informatie en de kans dat het optreedt, kan met een risicoanalyse worden geëvalueerd. Het management dient vervolgens aan te geven welke risico s aanvaardbaar zijn en welke met maatregelen moeten worden afgedekt. Het gebruik van standaard risicoanalyse hulpmiddelen is vaak een tijdrovend en abstract traject. De voorgestelde classificatiemethodiek geeft een snelle indicatie van het belang van de informatie(systemen) en is daarmee een basis voor een risicoanalyse. Na de classificatie kunnen de juiste maatregelen getroffen worden waardoor enerzijds inbreuken op de veiligheid worden voorkomen en anderzijds daarvoor niet nodeloos veel inspanning getroost wordt. 6

7 2 Classificatie van data Informatiebeveiliging is het geheel van maatregelen en procedures om informatie te beschermen. Het doel is: waarborgen van de continuïteit, integriteit en vertrouwelijkheid van informatie en de informatievoorziening en het beperken van de gevolgen van eventuele beveiligingsincidenten. Het beschermingsniveau van data wordt uitgedrukt in classificatieniveaus voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie: Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden. De onderscheiden niveaus zijn: niet nodig; noodzakelijk; belangrijk en essentieel. Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De onderscheiden niveaus zijn: niet zeker; beschermd; hoog en absoluut. Vertrouwelijkheid: de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim. Het toekennen van classificatieniveaus aan data en/of informatiesystemen is van groot belang, omdat daarmee het (vereiste) beschermingsniveau kenbaar gemaakt wordt. Aan de hand hiervan kan worden bepaald welke beveiligingseisen gelden en welke maatregelen moeten worden genomen. Dit is bijvoorbeeld relevant voor beheerders die lang niet altijd bekend zijn met de inhoud en dus de waarde van data, maar wel worden geacht adequate beschermingsmaatregelen te treffen. De volgende factoren oefenen invloed uit op de adequate beveiligingsmaatregelen: beleidsuitgangspunten, architectuurprincipes, beveiligingseisen (en hoe deze te interpreteren). Met de invoering van de Baseline Informatiebeveiliging voor Gemeenten is het basis beveiligingsniveau bepaald dat geldt voor de gehele bedrijfsvoering van een gemeente. Hierdoor moeten alleen processen en systemen onderzocht worden waarvan verwacht wordt dat deze meer beveiligingsmaatregelen nodig hebben dan de Baseline. Met een classificatiemethode kan bepaald worden of het proces of systeem binnen of buiten baseline valt. Indien de classificatie hoger dan vertrouwelijk is, dan zijn extra maatregelen nodig. Soms zijn deze maatregelen al genomen als application control (binnen de applicatie). Soms zijn deze extra maatregelen al uitgewerkt door een uitgevoerde risicoanalyse van een andere gemeente of er wordt binnen de gemeente een risicoafweging gemaakt door het uitvoeren van een risicoanalyse met als resultaat meer passende maatregelen. 2.1 Risicoanalyse en restrisico s Een gemeente die informatie verwerkt en daarbij informatiesystemen gebruikt loopt bepaalde risico s doordat die informatie en systemen kwetsbaar zijn voor dreigingen van binnen en van buiten. Het uitvoeren van een risicoanalyse ondersteunt het management bij het vaststellen van de risico s die worden gelopen en hoe groot die risico s zijn. Daarmee kan vervolgens bepaald worden welke beveiligingsmaatregelen getroffen moeten worden om de risico s terug te dringen. Vooral bij de vertaling van risico naar maatregel is classificatie een belangrijk hulpmiddel om de ernst van een risico en de reikwijdte van een maatregel te kunnen bepalen. De voorgestelde Classificatie handreiking kan beschouwd worden als een vereenvoudigde vorm van een risicoanalyse. 7

8 Bij een risicoanalyse worden bedreigingen benoemd en in kaart gebracht. Per bedreiging wordt de kans van het optreden ervan bepaald en wordt vervolgens berekend wat de schade is die op zou kunnen optreden als een bedreiging zich daadwerkelijk voordoet. De bedoeling van een risicoanalyse is dat er na de analyse wordt vastgesteld op welke wijze de risico's beheerst kunnen worden, of teruggebracht tot een aanvaardbaar niveau: het treffen van informatiebeveiligingsmaatregelen. Daarbij wordt naast een risicoanalyse ook een kosten en baten analyse uitgevoerd. Op voorhand hoeft niet ieder risico te worden afgedekt: wanneer de kosten van de maatregelen om een risico te beperken hoger zijn dan de mogelijke schade, dan kan besloten worden het risico te accepteren. Het is de eigenaar/houder van de gegevens die bepaalt of deze classificatie juist is, maar ook of dat beargumenteerd van de aan deze classificatie gekoppelde maatregelen kan worden afgeweken, omdat het restrisico acceptabel is. 8

9 3 Beleidskaders voor classificatie In dit hoofdstuk worden aanvullende beleidskaders als voorbeeld weergegeven welke als apart beleid naast het informatiebeveiligingsbeleid van de gemeente uitgegeven kunnen worden. Voorbeeld beleid: Het informatiebeveiligingsbeleid van de gemeente <gemeentenaam> beschrijft globaal de normen voor beschikbaarheid, integriteit en vertrouwelijkheid van informatie. De onderscheiden niveaus van beschikbaarheid zijn: Niet nodig: De gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn Schending van beschikbaarheid heeft geen gevolgschade. Noodzakelijk: De informatie of service mag incidenteel uitvallen, het bedrijfsproces staat incidentele uitval toe. De continuïteit zal op redelijke termijn moeten worden hervat. Schending van deze classificatie kan enige 1 (in)directe schade toebrengen Belangrijk: De informatie of service mag bijna nooit uitvallen, het bedrijfsproces staat nauwelijks uitval toe. De continuïteit zal snel moeten worden hervat. Schending van deze classificatie kan serieuze 2 (in)directe schade toebrengen. Essentieel: De informatie of service mag alleen in zeer uitzonderlijke situaties uitvallen, bijvoorbeeld als gevolg van een calamiteit, het bedrijfskritische bedrijfsproces staat eigenlijk geen uitval toe. De continuïteit zal zeer snel moeten worden hervat. Schending van integriteit kan (zeer) grote 3 schade toebrengen. De onderscheiden niveaus van integriteit zijn: Niet zeker: Deze informatie mag worden veranderd. Geen extra bescherming van integriteit noodzakelijk. Schending van integriteit heeft geen gevolgschade. Beschermd: Het bedrijfsproces dat gebruik maakt van deze informatie staat enkele (integriteits-)fouten toe. Een basisniveau van beveiliging is noodzakelijk. Schending van deze classificatie kan enige (in-)directe schade toebrengen Hoog: Het bedrijfsproces dat gebruik maakt van deze informatie staat zeer weinig (integriteits-)fouten toe. Bescherming van integriteit is absoluut noodzakelijk. Schending van deze classificatie kan serieuze (in)directe schade toebrengen. Absoluut: Het bedrijfsproces dat gebruik maakt van deze informatie staat geen (integriteits- )fouten toe. Schending van integriteit kan (zeer) grote schade toebrengen De onderscheiden niveaus van vertrouwelijkheid zijn: Openbaar: Alle informatie die algemeen toegankelijk is voor een ieder. Er is geen schending van deze classificatie mogelijk. Bedrijfsvertrouwelijk: Informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van deze classificatie kan enige (in)directe schade toebrengen. Vertrouwelijk: Informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers 4. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van deze classificatie kan serieuze (in)directe schade toebrengen. 123 Voor uitleg over enige, serieuze en zeer grote zie bijlage 3 4 Onder de term beperkte groep gebruikers in de definitie van vertrouwelijk wordt een verzameling identiteiten met een specifieke en gemeenschappelijke taak en/of functie bedoeld; niet het lid zijn van een bepaalde dienst of deelgemeente. 9

10 Geheim: Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan zeer grote schade toebrengen. 10

11 4 Principes voor classificatie De volgende principes zijn het uitgangspunt voor (data) classificatie: De classificatietabel heeft betrekking op alle in beheer zijnde gegevensverzamelingen, gegevensdragers, informatiesystemen, servers en netwerkcomponenten. Informatie kan meer of minder gevoelig of kritisch zijn. Voor bepaalde informatie kan een extra niveau van bescherming of een speciale verwerking nodig zijn. Als een informatiesysteem daarvoor maatregelen (applicatie controls) genomen heeft om delen van de systeeminformatie die hoger geclassificeerd is adequaat te beschermen op record of schermniveau, dan kan een systeem als geheel lager ingeschaald worden binnen de tabel en daarmee bijvoorbeeld alsnog binnen de baseline vallen. De eigenaar van de gegevens (veelal ook de proceseigenaar) bepaalt het vereiste beschermingsniveau (classificatie). Indien sprake is van wettelijke eisen wordt dit expliciet aangegeven. De eigenaar van de gegevens bepaalt tevens wie toegang krijgt tot welke gegevens. Er wordt gestreefd naar een zo laag mogelijk classificatieniveau; te hoge classificatie leidt tot onnodige kosten. Bovendien dient informatie in beginsel voor zoveel mogelijk mensen beschikbaar zijn in het kader van een transparante overheid. Het object van classificatie is informatie. De classificatie die door de soort informatie bepaald wordt geldt ook voor het hogere niveau van informatiesystemen (of informatieservices), dat wil zeggen dat als een systeem geheime informatie verwerkt het hele systeem als geheim wordt aangemerkt tenzij voor dat hogere niveau maatregelen genomen zijn binnen het informatiesysteem. Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de eigenaren en dienen jaarlijks gecontroleerd te worden door de CISO. In alle gevallen kan de eigenaar van de gegevens zich voor het classificeren laten ondersteunen door beveiligingsspecialisten, zoals de CISO. Het uitgangspunt is de BIG. Echter als er meer maatregelen nodig zijn dan dienen de te nemen maatregelen te worden afgestemd op de risico s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van de te nemen maatregelen. Dit is vaak situatieafhankelijk. Naarmate de gegevens een gevoeliger karakter hebben, of gezien de context waarin ze gebruikt worden een groter risico inhouden, dienen zwaardere eisen aan de beveiliging van die gegevens te worden gesteld. In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd dit als passend kan worden beschouwd. Extra beveiliging is echter niet meer passend, indien de kosten voor het mitigeren van de risico s disproportioneel hoog zijn. Kort gezegd: risico s en de te nemen maatregelen dienen in balans te zijn. 11

12 5 Beveiligingseisen per classificatieniveau 5.1 Beschikbaarheid Beschikbaarheid stelt in tegenstelling tot integriteit en vertrouwelijkheid geen eisen aan de inhoud van de data. Er gelden daarom geen bijzondere maatregelen voor authenticatie, autorisatie, monitoring en beveiliging, zoals voor integriteit en vertrouwelijkheid (zie volgende paragrafen). Aangezien de normen voor beschikbaarheid verschillen per service moet het classificatieniveau voor beschikbaarheid altijd worden gespecificeerd. Definitie Beschikbaarheid is gedefinieerd als 'eigenschappen van het geheel van ICT-diensten, systemen, componenten en gegevensdragers die van invloed zijn op de tijd dat het product of de dienst (en daarmee informatie) beschikbaar is voor de geautoriseerde gebruiker, op de momenten dat het beschikbaar moet zijn'. Beschikbaarheid wordt gemeten aan de hand van de Mean Time Between Failures (MTBF). Dit is de gemiddelde tijd tussen het herstel van het ene incident en het optreden van het volgende incident. De in de onderstaande tabel genoemde waarden zijn een voorbeeld, deze waarden moeten door de gemeente zelf bepaald worden. Beveiligingsnormen: De normen voor de kantoor Automatisering (KA), Intranet van de gemeente <gemeentenaam> en de toegevoegde diensten zijn (let op, dit kan per systeem / klasse worden ingevuld): KA (basis en plus applicaties): 99,5% beschikbaarheid op werkdagen tussen 7:30 en 18:00 Intranet <gemeentenaam>: 99,5% beschikbaarheid op werkdagen tussen 7:30 en 18:00 Klasse Noodzakelijk Werktijden Van 08:00 tot 17:00 uur op maandag t/m vrijdag behoudens algemeen erkende feestdagen. Beschikbaarheid tijdens werktijd 99,6% (min.) Beschikbaarheid buiten werktijd 96,1% (min.) MTBF 100 dagen (min.) MTTR (voor storingen langer dan 3 4 uur (max.) minuten) Aantal storingen: 3 Minuten of korter 4 per maand (max.) Langer dan 3 minuten 1 per maand (max.) Klasse Belangrijk Werktijden Van 07:00 tot 21:00 uur op maandag t/m vrijdag behoudens algemeen erkende feestdagen. Beschikbaarheid tijdens werktijd 99,6% (min.) Beschikbaarheid buiten werktijd 96,1% (min.) 12

13 MTBF 100 dagen (min.) MTTR (voor storingen langer dan 3 4 uur (max.) minuten) Aantal storingen: 3 Minuten of korter 2 per maand (max.) Langer dan 3 minuten 1 per 2 maanden (max.) Klasse Essentieel Werktijden 24 uur per dag, 7 dagen per week, behoudens gepland onderhoud. Beschikbaarheid 99,9% (min.) MTBF 200 dagen (min.) MTTR (voor storingen langer dan 3 4 uur (max.) minuten) Aantal storingen: 3 Minuten of korter 1 per maand (max.) Langer dan 3 minuten 1 per halfjaar (max.) 5.2 Integriteit Het onderwerp integriteit valt normaliter in twee delen uiteen: de integriteit van data communicatie en opslag enerzijds (d.w.z. niet gerelateerd aan het gemeentelijke proces zelf), en de integriteit van de informatie in de applicaties of fysiek (d.w.z. gerelateerd aan het gemeentelijke proces zelf). Integriteit gekoppeld aan de applicatie is altijd situatie afhankelijk en afhankelijk van de eisen van een specifiek proces. Voor de functionele integriteit van de informatievoorziening wordt een minimale set van normen opgesteld waarbij er per dienst en/of applicatie nadere afspraken gemaakt kunnen worden. Definitie Integriteit geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en tijdigheid van de transacties. Beveiligingsnormen Onderstaande tabel beschrijft de beveiligingseisen (en maatregelen) per classificatieniveau, onderverdeeld in eisen voor authenticatie, autorisatie, monitoring en beveiliging. De bewaartermijnen zijn indicatief. Voor gegevens waarin (herleidbare) persoonsgegevens voorkomen moet boven de 6 maanden bewaartermijn formeel melding gedaan worden bij de privacy functionaris of het agentschap BPR. 13

14 Niveau Authenticatie Autorisatie Monitoring Beveiliging Niet zeker Geen Geen Geen Geen Beschermd Authenticatie basis vereist. Autorisatie vereist. Vastleggen authenticatie (correct en foutief) en tijdstip. Vastleggen relevante input en output van een IT-systeem of service. Monitoring-gegevens Inputvalidatie. Controleren op mutatie tijdens transport. Transportbeveiliging of berichtbeveiliging. Gegevens: Versie van gebruikte gegevens is bekend. 67 Na uitvoering van een service blijven gewijzigde gegevens consistent. bewaren voor periode van 1/2 jaar. 5 Hoog Authenticatie midden vereist. Autorisatie vereist. 4- Vastleggen authenticatie (correct en foutief) en Inputvalidatie. Controleren op mutatie tijdens transport. ogen principe tijdstip. Berichtbeveiliging. vereist. Vastleggen relevante input en output van een IT-systeem of service. Monitoring-gegevens Gegevens: Versie van gebruikte gegevens is bekend. Wijzigingen alleen op bron. Na uitvoering van een service blijven gewijzigde gegevens consistent. bewaren voor periode van maximaal 2 jaar of langer bij een vermoed beveiligingsincident. Absoluut Authenticatie hoog vereist. Geen SSO toegestaan. Autorisatie vereist. 4- Vastleggen authenticatie (correct en foutief) en Inputvalidatie. Controleren op mutatie tijdens transport. ogen principe tijdstip. Berichtbeveiliging. vereist. Vastleggen relevante input en output van een IT-systeem of service. Monitoring-gegevens Gegevens: Gegevens worden niet buiten hun bron opgeslagen (behalve voor beschikbaarheid~) en niet buiten hun bron gewijzigd. bewaren voor periode van Na uitvoering van een service blijven minimaal 3 8 jaar bij een gewijzigde gegevens consistent. vermoed beveiligingsincident. Vastleggen oude staat van te wijzigen gegevens. De authenticatieniveaus verwijzen naar het vereiste beveiligingsmechanisme: Basis: authenticatie gebaseerd op iets wat men weet (naam/wachtwoord). Midden: authenticatie gebaseerd op iets wat men weet en iets wat men heeft (bijv. een token, smartcard of certificaat). 5 Voor zover niet in strijd met wetgeving wat betreft de vastlegging van gegevens. 6 Het gaat om de bron van de gegevens of een kopie van de gegevens en het tijdstip van de gebruikte gegevens. 7 Regels met betrekking tot gegevensuitwisseling met derden (buiten Gemeente Xxxxxxxxx) worden gedefinieerd in een leveringscontract. Hierin komen ook regels met betrekking tot integriteit en vertrouwelijkheid aan bod 8 Zie van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 14

15 Hoog: authenticatie gebaseerd op eigenschap, bijvoorbeeld irisscan of vingerafdruk. De autorisatieniveaus verwijzen naar de wijze waarop de controle wordt uitgevoerd. Vanaf beschermd is altijd autorisatie verplicht en vanaf hoog komt daar het 4-ogen principe bij. Het 4- ogen principe bestaat uit één persoon die vastlegt en één persoon die fiatteert. Bij monitoring van de niveaus beschermd en hoog wordt de term relevant gebruikt. Welke gegevens relevant zijn, is ter beoordeling van de eigenaar. Voorbeelden en richtlijnen voor relevante gegevens zijn stamgegevens (gegevens waarop andere gegevens gebaseerd zijn), gegevens in basis- en kernregistraties, privacygevoelige informatie en gegevens beschermd door wet- en regelgeving. Bij datatransport is berichtbeveiliging te prefereren boven transportbeveiliging. Echter, transportbeveiliging kan in bepaalde gevallen eenvoudiger en/of goedkoper te implementeren zijn. Daarom is bij classificatieniveau beschermd de keuze voor transportbeveiliging en berichtbeveiliging open gelaten. Bij hoog en absoluut is de classificatie zodanig dat berichtbeveiliging toegepast moet worden. 5.3 Vertrouwelijkheid Definitie Vertrouwelijkheid is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerden toegang krijgen en dat informatie niet kan uitlekken. Vertrouwelijkheid geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en geautoriseerdheid van de transacties Vertrouwelijke gegevens zijn bijvoorbeeld: Persoonsgegevens Gemeentelijke- en bedrijfsgeheimen Concurrentiegevoelige gegevens zoals voorbereidingen voor bestemmingsplannen Medische gegevens Beveiligingsmaatregelen Onderstaande tabel beschrijft de beveiligingseisen (en maatregelen) per classificatieniveau, onderverdeeld in eisen voor authenticatie, autorisatie, monitoring en beveiliging. 15

16 Niveau Authenticatie Autorisatie Monitoring Beveiliging Openbaar Geen Geen Geen Geen Bedrijfs- Authenticatie basis vereist. Autorisatie Vastleggen herhaaldelijk Outputvalidatie. vertrouwelijk Sessie-timeout na 15 min vereist (lid foutieve authenticatie en Versleuteling tijdens transport buiten netwerk inactiviteit. Voor klant van tijdstip. 9 Monitoringgegevens van Gemeente <gemeentenaam> via absolute sessie-timeout na 120 min. Identiteit blokkeren na 3 achtereenvolgende foutieve authenticatiepogingen. Authenticatie basis nodig voor deblokkeren. bewaren voor organisatie). periode van 1/2 jaar. transportbeveiliging of berichtbeveiliging. Kopieën van gegevens moeten net zo goed beveiligd worden. Gegevens uit productieomgeving worden niet gebruikt in OTA 10 -omgevingen tenzij deze zijn geanonimiseerd en de gegevenseigenaar toestemming heeft gegeven. Vertrouwelijk Authenticatie midden Autorisatie Vastleggen herhaaldelijk Outputvalidatie. vereist. Sessie-timeout na 15 min vereist (specifieke foutieve authenticatie en tijdstip. Monitoringgegevens Versleuteling tijdens transport en op tussenstations binnen en buiten netwerk van inactiviteit. Voor klant rol). bewaren voor Gemeente <gemeentenaam> via absolute sessie-timeout na 120 min. Identiteit blokkeren na 3 achtereenvolgende foutieve authenticatiepogingen. Authenticatie midden nodig voor deblokkeren. periode van 2 jaar. berichtbeveiliging. Kopieën van gegevens moeten minimaal net zo goed beveiligd worden. Aantal kopieën minimaliseren. Berichtbeveiliging. Gegevens uit productieomgeving worden niet gebruikt in OTA-omgevingen tenzij deze zijn geanonimiseerd en de gegevenseigenaar toestemming heeft gegeven. Geheim Authenticatie hoog vereist. Autorisatie Vastleggen correcte en Outputvalidatie. Sessie-timeout na 15 min inactiviteit. Voor klant vereist (specifieke foutieve authenticatie en tijdstip. Monitoringgegevens Versleuteling tijdens transport en op tussenstations via berichtbeveiliging. absolute sessie-timeout na rol). bewaren voor Versleutelde opslag van gegevens. Transport 120 min. Identiteit blokkeren na 3 achtereenvolgende foutieve authenticatiepogingen. Authenticatie hoog nodig voor deblokkeren. Geen SSO toegestaan. periode van 7 jaar. van gegevens minimaliseren. Alleen transport en opslag binnen vaste netwerk van Gemeente <gemeentenaam>. Geen kopieën toegestaan behalve voor beschikbaarheid. ' Gegevens uit productieomgeving worden niet gebruikt in OTA-omgevingen tenzij deze zijn geanonimiseerd en de gegevenseigenaar toestemming heeft gegeven. De authenticatie niveaus verwijzen naar het vereiste beveiligingsmechanisme (zie voorgaande paragraaf). Bedrijfsvertrouwelijk verwijst naar de organisatie, waarmee wordt bedoeld: de Gemeente <gemeentenaam>, een deelgemeente of een dienst. 9 Onder herhaaldelijk foutief' wordt in de context van monitoring gesproken als een identiteit achtereenvolgens drie keer foutief authenticeert. Na correct inloggen wordt de teller op nul gezet. 10 Ontwikkel-, Test- en Acceptatie- omgevingen 16

17 6 Bepalen van classificatieniveaus In de voorgaande hoofdstukken is de context beschreven die van belang is bij het toekennen van classificatieniveaus: de beleidsuitgangspunten, architectuurprincipes en beveiligingseisen. Met deze kennis kan data geclassificeerd gaan worden. In dit hoofdstuk zijn de te doorlopen stappen uitgewerkt. Stap 1: Wettelijke eisen De eerste stap bij dataclassificatie is nagaan welke wet en regelgeving mogelijk eisen stelt aan gebruik, distributie en opslag van data. Zie voor een overzicht van relevante wetgeving hoofdstuk 1.5 van de tactische variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Vooral in de Wet Bescherming Persoonsgegevens (WBP) worden eisen gesteld aan de verwerking van persoonsgegevens, waarbij het begrip passende beveiligingsmaatregelen een rol speelt. De WBP bepaalt dat persoonsgegevens door de verantwoordelijke (degene die doel en middelen van de verwerking vaststelt) in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze dienen te worden verwerkt (artikel 6 WBP). Tevens dienen persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verzameld (artikel 7 WBP). Ook mogen persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen (artikel 9 WBP). Daarnaast dienen persoonsgegevens die worden verwerkt toereikend, ter zake dienend, niet bovenmatig, juist en nauwkeurig te zijn (artikel 11 WBP). Deze bepalingen zijn leidend bij de toekenning van classificatieniveaus. Het beschermingsniveau van data is veelal het resultaat van een afweging van belangen. Bijvoorbeeld, het verstrekken van informatie volgens de WOB dient achterwege te blijven voor zover het belang daarvan niet opweegt tegen bijvoorbeeld inspectie, controle en toezicht door bestuursorganen (WOB, art 10, 2d). Voor een zorgvuldige afweging van wat wel/niet toegestaan is, is het raadzaam een jurist of een juridische dienst in te schakelen. Stap 2: Verantwoordelijkheden t.a.v. data Voor het toekennen van classificatieniveaus is het van belang om verantwoordelijkheden t.a.v. data en/of informatiesystemen goed in beeld te hebben: Wie bepaalt wie data mag gebruiken? Wie is bevoegd het beschermingsniveau te bepalen (rekening houdend met doelbinding in de wetgeving)? Wie heeft een 'business' belang bij gebruik van deze data? NB: de eigenaar van de data is niet per definitie de grootste belanghebbende. Houd hier rekening mee bij het bepalen van het classificatieniveau. Bepaal wie er allemaal gebruik maakt van data en/of informatiesystemen en welke rechten zij hebben. NB: dit is relevant bij het bepalen van risico's. Data die slechts voor enkelen toegankelijk is, is minder kwetsbaar dan data die breed wordt gedistribueerd via bijvoorbeeld een datawarehouse t.b.v. bedrijfsapplicaties. Hoewel de eigenaar van de gegevens verantwoordelijk is voor classificatie zal kennis over gebruik, distributie en opslag én kennis van de beveiligingscontext veelal bij anderen liggen. Bij het 17

18 classificeren kan de eigenaar van de gegevens de hulp inroepen van de verantwoordelijk functioneel beheerder en de persoon die belast is met de rol van informatiebeveiligingsfunctionaris of CISO. Stap 3: Analyse kritische bedrijfsprocessen Classificatieniveaus zijn afgeleid van de waarde van data en het belang van het bedrijfsproces waarin deze data een rol speelt. Stel daarom vast wat het belang is van de bedrijfsvoerings processen voor de organisatie en hoe deze processen worden ondersteund door de ICT voorzieningen. De analyse wordt uitgevoerd met de modelvragenlijsten uit bijlage 1. Deze vragenlijsten geven direct het gewenste classificatieniveau voor beschikbaarheid, integriteit en/of vertrouwelijkheid van een informatiebedrijfsmiddel. In het kader van reproduceerbaarheid en voor bijvoorbeeld auditpartijen die achtergrond gegevens vragen, maar ook om vergelijkingen mogelijk te maken bij toekomstige herclassificatie, sterk aanbevolen om de ingevulde vragenlijsten te archiveren. In 2007 heeft de voorloper van het NCSC, GovCert, een onderzoek uitgevoerd met een aantal gemeenten, naar de betrouwbaarheidseisen voor een aantal uitvoeringsprocessen. Deze staan in onderstaande tabel en zijn bedoeld als leidraad. Proces Beschikbaarheid Integriteit Vertrouwelijkheid Burgerzaken (klantbegeleiding, afspraken) Belangrijk Absoluut Vertrouwelijk Basisregistratie persoonsgegevens Essentieel Absoluut Geheim Overige basisregistraties Essentieel Absoluut Openbaar Indienen en behandelen beroep en bezwaarschriften Noodzakelijk Absoluut Openbaar/ vertrouwelijk Registratie ingekomen post burgers en bedrijven Noodzakelijk Hoog Bedrijfsvertrouwelijk Beheren gevonden voorwerpen Noodzakelijk Beschermd Openbaar Bedrijvenloket Noodzakelijk Beschermd Openbaar Publicatie van ruimtelijke plannen Noodzakelijk Absoluut Openbaar Grootschalige Basiskaart Nederland (GBKN) Noodzakelijk Absoluut Openbaar Kenbaarstelling Publiekrechtelijke Beperkingen (WKPB) Noodzakelijk Absoluut Openbaar Registratie risico's gevaarlijke stoffen (risicokaart) Essentieel Absoluut Bedrijfsvertrouwelijk Bodembeheer Noodzakelijk Hoog Openbaar Aanvraag en verlening vergunning Noodzakelijk Absoluut Vertrouwelijk Bouw- en woningtoezicht Noodzakelijk Absoluut Vertrouwelijk Financieel beheer (betalingen leges, etc.) Noodzakelijk Hoog Vertrouwelijk Aangifte en heffing gemeentelijke belastingen/ heffingen Noodzakelijk Hoog Vertrouwelijk Waardebepaling Onroerende Zaken (W OZ) Noodzakelijk Hoog Bedrijfsvertrouwelijk Sociale Zaken Uitvoering / verstrekking voorzieningen Essentieel Hoog Geheim Sociale Zaken Handhaving en controle Noodzakelijk Absoluut Geheim 18

19 Openbare orde en veiligheid (brandweer, preventie, Essentieel Absoluut Geheim rampbestrijding) Handhaving en toezicht gemeentelijke verordeningen / Noodzakelijk Absoluut Vertrouwelijk regelgeving Gezondheidszorg GGD taak / ambulancedienst Belangrijk Absoluut Geheim Stap 4: Afweging: criteria bij het bepalen van het classificatieniveau Classificeren is geen exacte wetenschap. Bepaling van het classificatieniveau volgt uit een risicobeoordeling waarin de 'waarde' van informatie wordt bepaald. Aangezien 'waarde' lang niet altijd meetbaar is, is toekenning van een classificatieniveau soms arbitrair. In die gevallen kan een afweging gemaakt worden tussen de waarde en het risico van verlies van data. Het classificatieniveau en de daarbij behorende beveiligingseisen en maatregelen moet altijd 'passen' bij het te beschermen gegeven. De vraag is natuurlijk: wat is een 'passende' maatregel? Artikel 13 WBP noemt drie criteria die bij de keuze van de te nemen technische en organisatorische maatregelen gebruikt moeten worden: 1. De stand der techniek Hierbij wordt allereerst vastgesteld welke technische maatregelen op dat moment beschikbaar zijn; Ten aanzien van de aanwezige voorzieningen geldt dat achterhaalde technieken niet langer als passend geclassificeerd kunnen worden; Dit betekent dat een verantwoordelijke bij het bepalen van de te nemen technische maatregelen een afstemming moet vinden tussen de technische faciliteiten die in gebruik zijn bij de verwerking en die in gebruik zijn bij de beveiliging van persoonsgegevens; De verantwoordelijke moet deze analyse periodiek herhalen. 2. De kosten van de tenuitvoerlegging Hier moet de verantwoordelijke een keuze maken tussen de mogelijke technische en organisatorische maatregelen: in alle redelijkheid moet worden afgewogen of er een evenredigheid bestaat tussen de kosten van de beveiliging en het effect daarvan voor de beveiliging van persoonsgegevens; 3. De risico's die de verwerking met zich meebrengen Hier wordt vastgesteld welk risico de betrokkene c.q. De verantwoordelijke lopen bij verlies of onrechtmatige verwerking van persoonsgegevens: naarmate het risico toeneemt zullen de maatregelen evenredig verzwaard worden. Classificeren kan het beste in workshopverband uitgevoerd worden. Een workshop heeft een lerend effect, geeft commitment binnen de groep, zorgt voor samenwerken, maar bovenal zorgt het voor een gewogen gemiddelde. Dit laatste heeft als resultaat dat maatregelen beter in perspectief komen. 19

20 Stap 5: Het resultaat Het resultaat van de analyse vertaald zich in een classificatierapport met daarbij de ingevulde vragenlijsten als bijlagen. Het beveiligingsniveau van de Tactische Baseline is zo gekozen dat dit voor de meeste processen en ondersteunende ICT-voorzieningen bij gemeenten voldoende is. Hiermee wordt voorkomen dat er voor ieder systeem een uitgebreide risicoanalyse uitgevoerd moet worden. Het niveau van de Baseline Informatiebeveiliging Nederlandse Gemeenten bevindt zich op de volgende (BIV) waarden: - Beschikbaarheid: Noodzakelijk - Integriteit: Hoog - Vertrouwelijkheid: Vertrouwelijk Mocht de uitkomst van de analyse uitkomen onder of op de bovenstaande niveaus, dan hoeven geen extra maatregelen genomen te worden. Als één van de BIV-waarden een hogere score heeft dan hierboven genoemd, dan moeten er extra maatregelen genomen worden. Deze maatregelen worden separaat beschikbaar gesteld als aanvullende maatregelen al naar gelang de behaalde BIVscore. 20

Dataclassificatie. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Dataclassificatie. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Dataclassificatie Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

MOBIELE GEGEVENSDRAGERS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) MOBIELE GEGEVENSDRAGERS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Mobiele gegevensdragers Versienummer 1.0

Nadere informatie

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN

INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN INKOOPVOORWAARDEN EN INFORMATIEBEVEILIGINGSEISEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Inkoopvoorwaarden

Nadere informatie

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOEGANGSBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOEGANGSBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toegangsbeleid Versienummer 1.0 Versiedatum oktober

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

IMPLEMENTATIE BIG. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) IMPLEMENTATIE BIG Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Implementatie BIG Versienummer 1.0 Versiedatum

Nadere informatie

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

CONTRACTMANAGEMENT. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) CONTRACTMANAGEMENT Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Contractmanagement Versienummer 1.0 Versiedatum

Nadere informatie

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VEILIGE AFVOER VAN ICT- MIDDELEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VEILIGE AFVOER VAN ICT- MIDDELEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Veilige afvoer van ICT-middelen

Nadere informatie

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V. Beleid over de bescherming van persoonsgegevens en waarborgen voor de zorgvuldige

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

HARDENING-BELEID VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) HARDENING-BELEID VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Hardening-beleid voor gemeenten

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Document Versie: 1.0

Document Versie: 1.0 Bepaling van benodigde Beschikbaarheid, Integriteit en Vertrouwelijkheid van een systeem ter ondersteuning van een provinciaal proces. Document Versie: 1.0 1 Inhoudsopgave INTRODUCTIE... 3 HANDLEIDING

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1. Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2. Gezondheidsgegevens Persoonsgegevens die direct of indirect betrekking

Nadere informatie

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

ANTI-MALWARE BELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ANTI-MALWARE BELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Anti-malware beleid Versienummer 1.0 Versiedatum

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012

Privacyreglement. Inhoudsopgave. Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Pagina 1 van 7 Privacyreglement Vastgestelde privacyreglement Kraamzorg Novo Peri, 13 juni 2012 Inhoudsopgave Hoofdstuk 1: Algemene bepalingen artikel 1: Begripsomschrijvingen artikel 2: Reikwijdte artikel

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

8.50 Privacyreglement

8.50 Privacyreglement 1.0 Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; 2. Zorggegevens: persoonsgegevens die direct of indirect betrekking hebben

Nadere informatie

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel...

Inleiding, toelichting... 2. Algemene bepalingen... 2. Artikel 1: Begripsbepalingen... 2. Artikel 2: Reikwijdte... 3. Artikel 3: Doel... PRIVACYREGLEMENT REGIORECHT ANTI-FILESHARINGPROJECT INHOUD Inleiding, toelichting... 2 Algemene bepalingen... 2 Artikel 1: Begripsbepalingen... 2 Artikel 2: Reikwijdte... 3 Artikel 3: Doel... 3 Rechtmatige

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Reglement bescherming persoonsgegevens Lefier StadGroningen

Reglement bescherming persoonsgegevens Lefier StadGroningen Reglement bescherming persoonsgegevens Lefier StadGroningen Voor het verhuren van een woning en het leveren van overige diensten heeft Lefier StadGroningen gegevens van u nodig. De registratie en verwerking

Nadere informatie

Is uw onderneming privacy proof?

Is uw onderneming privacy proof? Is uw onderneming privacy proof? Seminar Privacy 6 november 2014 Floor de Roos Advocaat handelsrecht 1 De Wet bescherming persoonsgegevens in vogelvlucht 2 1. Is sprake van persoonsgegevens? Ruim begrip:

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

onderzoek en privacy WAT ZEGT DE WET

onderzoek en privacy WAT ZEGT DE WET onderzoek en privacy WAT ZEGT DE WET masterclass research data management Maastricht 4 april 2014 presentatie van vandaag uitleg begrippenkader - privacy - juridisch huidige en toekomstige wet- en regelgeving

Nadere informatie

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.) 1. Begripsbepalingen 1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare

Nadere informatie

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Privacyreglement Intermedica Kliniek Geldermalsen Versie 2, 4 juli 2012 ALGEMENE BEPALINGEN Artikel 1. Begripsbepalingen Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare

Nadere informatie

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VOORBEELD BASELINETOETS. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VOORBEELD BASELINETOETS Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Voorbeeld Versienummer 1.0 Versiedatum Juni

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen

Privacyreglement. verwerking persoonsgegevens. ROC Nijmegen Privacyreglement verwerking persoonsgegevens ROC Nijmegen Laatstelijk gewijzigd in april 2014 Versie april 2014/ Voorgenomen vastgesteld door het CvB d.d. 12 juni 2014 / Instemming OR d.d. 4 november 2014

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams "Samen Doen" worden uitgevoerd in opdracht van het

Privacy protocol gemeente Hardenberg. de activiteiten van de gebiedsteams Samen Doen worden uitgevoerd in opdracht van het O0SOPo 01-04-15 Hardenberg Privacy protocol gemeente Hardenberg Burgemeester en wethouders van de gemeente Hardenberg; Gelet op de: Wet bescherming persoonsgegevens (Wbp) Wet maatschappelijke ondersteuning

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp)

Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) Privacyreglement Volgens de Wet bescherming persoonsgegevens (Wbp) 1. Begripsbepaling 1.1. Persoonsgegevens Alle gegevens die herleidbaar zijn tot een individuele natuurlijke persoon. 1.2. Zorggegevens

Nadere informatie

Privacyreglement. Algemene bepalingen. Doelstelling

Privacyreglement. Algemene bepalingen. Doelstelling Doelstelling Privacyreglement Het doel van dit reglement is een praktische uitwerking te geven van de bepalingen van de Wet bescherming persoonsgegevens, verder te noemen WBP. Dit reglement is van toepassing

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Ter info (AB) Afdeling: Team: Bedrijfsbureau Beh.door: Bos, M.G. Port.houder: DB, Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015. Memo Informatiebeveiliging Inleiding Met

Nadere informatie

Privacyreglement KOM Kinderopvang

Privacyreglement KOM Kinderopvang Privacyreglement KOM Kinderopvang Doel: bescherming bieden van persoonlijke levenssfeer van de ouders en kinderen die gebruik maken van de diensten van KOM Kinderopvang. 1. Algemene bepalingen & begripsbepalingen

Nadere informatie

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy

Help, een datalek, en nu? IKT-College 16 februari 2016. Mirjam Elferink Advocaat IE, ICT en privacy Help, een datalek, en nu? IKT-College 16 februari 2016 Mirjam Elferink Advocaat IE, ICT en privacy Inleiding Voorbeelden recente datalekken - Medische gegevens online door fout scanbedrijf (Bron: R. van

Nadere informatie

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

PATCH MANAGEMENT VOOR GEMEENTEN. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) PATCH MANAGEMENT VOOR GEMEENTEN Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Patch Management voor gemeenten

Nadere informatie

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

a) Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Privacyreglement QPPS LIFETIMEDEVELOPMENT QPPS LIFETIMEDEVELOPMENT treft hierbij een schriftelijke regeling conform de Wet Bescherming Persoonsgegevens voor de verwerking van cliëntgegevens. Vastgelegd

Nadere informatie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Gedragscode voor Onderzoek & Statistiek Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens Inhoudsopgave 1. Considerans...3 2. Begripsbepaling...3 3. Omschrijving van de sector en toepassingsgebied...4

Nadere informatie

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACY REGLEMENT Algemene bepalingen Begripsbepalingen 1.1. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 1.2 Gezondheidsgegevens / Bijzondere

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Privacy protocol Sociaal domein gemeente Waterland 2015

Privacy protocol Sociaal domein gemeente Waterland 2015 GEMEENTEBLAD Officiële uitgave van gemeente Waterland. Nr. 6717 29 januari 2015 Privacy protocol Sociaal domein gemeente Waterland 2015 Het college van burgemeester en wethouders van Waterland, overwegende

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

gewoondoenreintegratie

gewoondoenreintegratie Privacy reglement gewoondoenreintegratie Versie 1.2 26-06-2013 ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten: vast te stellen de volgende Regeling Wet bescherming persoonsgegevens Teylingen

Nadere informatie

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON

PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON PRIVACYREGLEMENT T.B.V. VERWERKING VAN PERSOONSGEGEVENS DOOR FUNDEON Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming

Nadere informatie

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen

PRIVACY VERKLARING. Artikel 1 Algemene- en begripsbepalingen PRIVACY VERKLARING Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

BACK-UP EN RECOVERY GEMEENTE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) BACK-UP EN RECOVERY GEMEENTE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Back-up en Recovery Gemeente Versienummer

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Privacy reglement. Inleiding

Privacy reglement. Inleiding Privacy reglement Inleiding De Wet bescherming persoonsgegevens (WBP) vervangt de Wet persoonsregistraties (WPR). Daarmee wordt voldaan aan de verplichting om de nationale privacywetgeving aan te passen

Nadere informatie

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV)

Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Privacyreglement t.b.v. de verwerking van persoonsgegevens door Caprisma (Capacity Risk Management BV) Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting

Nadere informatie

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014

Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 Laat Beveiliging niet over aan Beveiligers! Presentatie voor EAM 2014 22 mei 2014 Raymond Slot raymond.slot@hu.nl nl.linkedin.com/in/raymondslot VRAAG: Top bedreigingen Continuïteit? Continuïteitsbedreiging

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Privacyreglement Potenco

Privacyreglement Potenco Privacyreglement Potenco Artikel 1 Algemene en begripsbepalingen 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ:

Wet Bescherming Persoonsgegevens : WBP AANGESLOTEN BIJ: AANGESLOTEN BIJ: Btw nummer 086337798 B01 K.v.K. nr. 14096082 Maastricht Wet Bescherming Persoonsgegevens : WBP Kwaliteit Per 1 september 2001 is de Wet Persoonsregistraties vervangen door de Wet Bescherming

Nadere informatie

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE

GEDRAGSCODE VERWERKING PERSOONGSGEGEVENS STICHTING EDUROUTE mei 2007 GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE GEDRAGSCODE VERWERKING PERSOONSGEGEVENS STICHTING EDUROUTE IN AANMERKING NEMENDE: dat bij de Stichting Eduroute verschillende educatieve distributeurs zijn aangesloten; dat deze educatieve distributeurs

Nadere informatie

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit Privacyreglement van Dutch & Such ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming

Nadere informatie

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer

LWV Masterclass 2 Cybercrime Roermond 2 februari 2016. Rens Jan Kramer LWV Masterclass 2 Cybercrime Roermond 2 februari 2016 Rens Jan Kramer 1 Wet bescherming persoonsgegevens Wet meldplicht datalekken 2 Centrale begrippen in privacyrecht a. Persoonsgegevens b. Betrokkene

Nadere informatie

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Dit reglement bevat, conform de wet bescherming persoonsgegevens, regels voor een zorgvuldige omgang met het verzamelen en verwerken

Nadere informatie

PRIVACYBELEID NVM ONLINE BIEDEN

PRIVACYBELEID NVM ONLINE BIEDEN PRIVACYBELEID NVM ONLINE BIEDEN 1. Algemeen 1.1 Reikwijdte De Nederlandse Vereniging van Makelaars en Taxateurs in onroerende goederen NVM (NVM/Wij/Ons) hecht veel waarde aan de bescherming van uw persoonsgegevens.

Nadere informatie

HANDREIKING PROCES WIJZIGINGSBEHEER

HANDREIKING PROCES WIJZIGINGSBEHEER HANDREIKING PROCES WIJZIGINGSBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Handreiking proces wijzigingsbeheer

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Privacyreglement van De Zaak van Ermelo

Privacyreglement van De Zaak van Ermelo Privacyreglement van De Zaak van Ermelo ARTIKEL 1. ALGEMENE EN BEGRIPSBEPALINGEN 1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet

Nadere informatie

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Veilige afvoer van ICT-middelen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Veilige afvoer van ICT-middelen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Bewerkersovereenkomst ARVODI-2014

Bewerkersovereenkomst ARVODI-2014 Instructie: 1 - Teksten/bepalingen die optioneel zijn, staat voor vermeld. - Bij teksten waar OF tussen de bepalingen in staat, dient een keuze tussen de verschillende opties gemaakt te worden.

Nadere informatie

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. Vastgesteld door de Raad van Bestuur, november 2010 Artikel 1 Begripsbepalingen 1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon. 1.2 verwerking van persoonsgegevens:

Nadere informatie

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Contractmanagement. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Contractmanagement Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN

PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN PRIVACYREGLEMENT STICHTING KINDEROPVANG SWALMEN 1. Begripsbepalingen. Persoonsgegevens; Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Zorggegevens Persoonsgegevens

Nadere informatie

Privacyreglement Kindertherapeuticum

Privacyreglement Kindertherapeuticum 1. Begripsbepalingen Binnen de Wet Bescherming Persoonsgegevens (WBP) wordt een aantal begrippen gehanteerd. In onderstaande lijst staat een uitleg van de begrippen. 1.1 Persoonsgegevens Elk gegeven betreffende

Nadere informatie

Privacyreglement AMK re-integratie

Privacyreglement AMK re-integratie Privacyreglement Inleiding is een dienstverlenende onderneming, gericht op het uitvoeren van diensten, in het bijzonder advisering en ondersteuning van opdrachtgevers/werkgevers in relatie tot gewenste

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

VRAGENLIJST PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VRAGENLIJST PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VRAGENLIJST PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Vragenlijst PIA Versienummer 1.0 Versiedatum April

Nadere informatie

Gebruikersovereenkomst webshop Probin Telder

Gebruikersovereenkomst webshop Probin Telder Gebruikersovereenkomst webshop Probin Telder Algemeen De website en de bijbehorende webshop is samengesteld door de besloten vennootschap met beperkte aansprakelijkheid Telder Bouw en Industrie B.V., gevestigd

Nadere informatie

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015

PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 PRIVACY- EN COOKIEBELEID MKB Webhoster gepubliceerd op 1 januari 2015 MKB Webhoster erkent dat privacy belangrijk is. Dit Privacy- en Cookiebeleid (verder: Beleid) is van toepassing op alle producten diensten

Nadere informatie

Wet bescherming persoonsgegevens Pagina 1

Wet bescherming persoonsgegevens Pagina 1 Wet bescherming persoonsgegevens Wet bescherming persoonsgegevens te Huizen Erkend gastouderbureau Houder: dhr. A. Jongsma Laatst gewijzigd op: 10 mei 2009. Wet bescherming persoonsgegevens Pagina 1 Inhoudsopgaaf:

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

1. Inleiding... 2. 2 Wat zijn persoonsgegevens... 2 2.1 Definitie... 2 2.2 Bijzondere persoonsgegevens... 2 2.3 Beeldmateriaal...

1. Inleiding... 2. 2 Wat zijn persoonsgegevens... 2 2.1 Definitie... 2 2.2 Bijzondere persoonsgegevens... 2 2.3 Beeldmateriaal... Privacy en internet Bestuur/CSL februari 2008 Inhoud 1. Inleiding... 2 2 Wat zijn persoonsgegevens... 2 2.1 Definitie... 2 2.2 Bijzondere persoonsgegevens... 2 2.3 Beeldmateriaal... 2 3 Verplichtingen

Nadere informatie

Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen

Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen Privacybescherming bij het verwerken van cliëntgegevens Prof.mr.dr. M.A.J.M. Buijsen Erasmus School of Law/Erasmus Medisch Centrum Erasmus Universiteit Rotterdam buijsen@bmg.eur.nl Onderwerpen Uitgangspunten

Nadere informatie

Handreiking classificatie. Universiteit Leiden

Handreiking classificatie. Universiteit Leiden Handreiking classificatie Universiteit Leiden 1 Versie beheer Versie 0.1 14 april 2015 Eerste concept door Marco Gosselink Versie 0.2 21 april 2015 Tweede concept na opmerkingen J-W Brock. Versie 0.3 12

Nadere informatie

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015 De Meldplicht Datalekken mr. N. Falot 8 oktober 2015 Over Considerati Wij zijn het leidend juridisch adviesbureau gespecialiseerd in Privacy, ICT recht en Beleidsvraagstukken Uitgebreide ervaring met privacy

Nadere informatie

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. PRIVACYREGLEMENT 1. Begripsbepalingen 1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. 2. Zorggegevens: persoonsgegevens die direct of indirect

Nadere informatie

PRIVACY REGLEMENT - 2015

PRIVACY REGLEMENT - 2015 PRIVACY REGLEMENT - 2015 Jasnante re-integratie onderdeel van Jasnante Holding B.V. (kvk nr. 52123669 ) gevestigd aan de Jacob van Lennepkade 32-s, 1053 MK te Amsterdam draagt zorg voor de geheimhoudingsverplichting

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

Wijziging Historie Versie Gewijzigd door: Datum Aard van de wijziging 1.0 1.1 1.2 21-05-2008 18-11-2009 28-09-2011

Wijziging Historie Versie Gewijzigd door: Datum Aard van de wijziging 1.0 1.1 1.2 21-05-2008 18-11-2009 28-09-2011 TITEL: PenO privacyreglement Divers Auteur Versie 1.2 Documenteigenaar PenO Wijziging Historie Versie Gewijzigd door: Datum Aard van de wijziging 1.0 1.1 1.2 Barend Nieuwendijk 21-05-2008 18-11-2009 28-09-2011

Nadere informatie

informatiebeveiliging

informatiebeveiliging informatiebeveiliging mei 2016 1 inleiding aanleiding In februari 2016 werd de gemeente Rotterdam geconfronteerd met een datalek waarbij namen, adresgegevens en burgerservicenummers (BSN) uit belastingbestanden

Nadere informatie

Bewerkersovereenkomst

Bewerkersovereenkomst Bewerkersovereenkomst Datum: 25-04-2015 Versie: 1.1 Status: Definitief Bewerkersovereenkomst Partijen De zorginstelling, gevestigd in Nederland, die met een overeenkomst heeft gesloten in verband met het

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie